Login
Login-Name Passwort


 
Newsletter
Werbung

Fr, 17. Januar 2014, 11:30

Software::Distributionen::OpenSuse

Opensuse-Foren sollen zu freier Software migrieren

Eine Woche nach dem Einbruch in die Opensuse-Foren, der zur kurzzeitigen Abschaltung der Foren führte, hat sich wohl auch bei Opensuse die Erkenntnis durchgesetzt, dass proprietäre Software keine gute Idee ist.

en.opensuse.org

Der Schaden war relativ gering, der beim Einbruch in die Foren Anfang Januar entstand. Passwörter konnte der Einbrecher nicht erbeuten, da diese auf einem anderen, nicht kompromittierten Server lagen. Die E-Mail-Adressen der Benutzer waren allerdings lesbar, doch hat der Einbrecher verlauten lassen, dass er die Daten nicht weitergeben will. So blieb es bei einer kurzzeitigen Verunstaltung der Foren-Seite. Inzwischen ist das Forum wieder hergestellt und online.

Der Einbruch wurde durch eine Sicherheitslücke im SEO-Modul der proprietären Foren-Software vBulletin möglich, die zuvor nicht bekannt war. Es gibt zur Zeit keine Version von vBulletin, in der die Lücke behoben ist. Workarounds sind möglich, aber unbequem. Dennoch musste das Foren-Team von Opensuse zu dieser Maßnahme greifen.

Das Team denkt nun auch über weitere Maßnahmen nach. Es musste im Zusammenhang mit dem Einbruch auch eine eigene Nachlässigkeit eingestehen. Zwar waren die Dateirechte sehr restriktiv gesetzt, was auf jeden Fall half, den Schaden zu begrenzen, doch mit AppArmor hätte vielleicht noch mehr verhindert werden können. AppArmor, das auf neuen Servern verpflichtend eingesetzt wird, war auf dem Foren-Server aber noch nicht eingerichtet. Dies soll jetzt nachgeholt werden.

Zugleich erwägt das Team, auf eine freie Foren-Software umzusteigen. »Um die Sicherheitsprobleme von proprietärer Software herumzuarbeiten, ist nicht die ideale Lösung«, stellt das Team jetzt fest. Das Team erkundet daher momentan freie Software wie bbPress und phpBB, um in absehbarer Zeit umzusteigen. Dazu muss das Team aber erst noch Erfahrungen sammeln, besonders mit der Migration der Daten, und ein NNTP-Gateway-Skript an die neue Software anpassen. Fachkundige Hilfe ist dabei immer willkommen.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung